网络安全风险管控考核细则.docxVIP

网络安全风险管控考核细则

一、总则

1.1编制目的

为健全网络安全风险闭环管理，强化责任落实，提升防护实效，依据《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》等法律法规，结合本单位业务特点，制定本考核细则，用于量化评价各部门、各岗位在网络安全风险识别、评估、处置、改进等环节的工作质量与成效，考核结果与绩效、评优、资源分配直接挂钩。

1.2适用范围

本细则适用于本单位所属各部门、直属机构、全资及控股子公司；对合作外包服务商、供应链厂商的风险管控考核，参照本细则“供应链与第三方”章节执行。

1.3考核原则

风险导向：以重大风险、高频隐患、高危害场景为核心，突出结果与过程并重。

客观量化：指标可测量、可溯源、可复核，减少主观打分。

分级分类：按业务重要性、系统等级、数据敏感度设置差异化权重。

闭环改进：考核结果必须反馈至整改、预算、人事、采购等环节，形成持续改进闭环。

奖惩并举：考核结果与年度绩效、评优评先、资源投入、职务晋升、合同付款强绑定。

二、组织与职责

2.1网络安全考核委员会

由单位主要负责人任主任，信息化分管领导任副主任，成员包括网络安全部、业务归口管理部、人力资源部、财务部、审计部、法务部、纪检办公室负责人。职责：

审定年度考核方案、权重调整、申诉裁决；

审议重大风险责任认定与奖惩建议；

监督考核结果落地与整改闭环。

2.2网络安全部（考核办公室）